Призначення судових експертиз

При розслідуванні злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж і мереж електрозв'язку можуть призначатися і проводитися як традиційні криміналістичні (трасологічні, почеркознавчі, експертизи речовин і матеріалів та ін.), економічні, судово-бухгалтерські, так і спеціальні, для цього складу злочинів, комп'ютерно-технічні експертизи. Відповідно до їхніх завдань і специфіки об'єктів дослідження нині у межах цього роду експертиз можна виділити такі види:

технічна експертиза комп'ютерів і периферійних пристроїв. Призначається і проводиться з метою вивчення конструктивних особливостей комп'ютера, його периферійних пристроїв, технічних параметрів комп'ютерних мереж, а також причин виникнення збоїв у роботі комп'ютерного обладнання;

технічна експертиза обладнання захисту комп'ютерної інформації. Проводиться з метою вивчення технічних пристроїв захисту інформації, використовуваних на цьому підприємстві, організації, установі або фірмі;

експертиза машинних даних і програмного забезпечення. Здійснюється з метою вивчення інформації, що зберігається в комп'ютері та на магнітних носіях, у тому числі вивчення програмних методів захисту комп'ютерної інформації;

експертиза програмного забезпечення і даних, використовуваних у комп'ютерній мережі. Проводиться з метою вивчення інформації, що опрацьовується за допомогою комп'ютерних мереж, які експлуатуються на цьому підприємстві, організації, установі або фірмі.

Головними завданнями експертизи комп'ютерної техніки і програмних продуктів є:

- установлення технічного стану комп'ютерно-технічних засобів;

- установлення обставин, пов'язаних з використанням комп'ютерно-технічних засобів, інформації та програмного забезпечення;

- виявлення інформації та програмного забезпечення, що містяться на комп'ютерних носіях;

- установлення відповідності програмних продуктів певним параметрам.

Орієнтовний перелік вирішуваних питань.

Чи міститься на даному носії інформація стосовно (зазначити, яка інформація цікавить) і якщо так, то яка саме?

Чи містить носій досліджуваного комп'ютера інформацію про певні (зазначити, які саме) дії користувача?

Чи здійснювались спроби знищення зазначеної інформації?

Чи піддавався досліджуваний накопичувач певним процедурам з метою знищення інформації?

Чи розроблена зазначена інформація на цьому комп'ютері або перенесена з іншого носія?

Яким чином інформація (зазначити, яка саме) перенесена до досліджуваного комп'ютера (носія)?

Яка технологія та хронологія створення електронного документа (зазначити електронний документ та певний зміст)?

Яка дата та час створення (друку, видалення, занесення тощо) файлів, що містять інформацію стосовно... (зазначити зміст)?

Чи містить накопичувач інформації досліджуваного комп'ютера певне (зазначити, яке саме) програмне забезпечення?

Яким чином, коли це програмне забезпечення встановлене?

Які технічні несправності має дане комп'ютерне обладнання або його окремі блоки та пристрої, і як ці несправності впливають на роботу обладнання в цілому?

Чи можна за допомогою даного програмного продукту реалізувати функції, передбачені технічним завданням на його розробку?

Чи можливе вирішення певного завдання за допомогою даного програмного продукту?

Для дослідження інформації, що міститься на комп'ютерних носіях, експертові надається сам комп'ютерний носій, а також комп'ютерний комплекс, до складу якого входить досліджуваний носій.

У деяких випадках на дослідження може надаватися тільки комп'ютерний носій. У такому разі, якщо перед експертами ставляться питання стосовно дат та часу певних дій користувача, експертам надається інформація щодо показів годинника реального часу комп'ютера, з якого вилучено носій.

Для встановлення відповідності програмних продуктів певним параметрам, а також вартості програмного продукту експертові надається носій з копією досліджуваного програмного продукту і еталонна (дистрибутивна) копія програмного продукту, що реалізується на вітчизняному ринку програмних засобів.

У разі відсутності дистрибутивної копії програмного продукту не слід відмовлятися від призначення експертизи, оскільки в окремих випадках її можна провести за наявності копії програмного продукту.

Для дослідження технічного стану і визначення вартості комп'ютерно-технічних засобів експертові надаються сама комп'ютерна техніка, а також технічна документація до неї.

Щоб визначити, які саме об'єкти слід надавати експертові в кожному конкретному випадку, а також як їх відбирати для дослідження, доцільно отримати консультацію експерта (спеціаліста) в галузі комп'ютерної техніки.

На вирішення технічної експертизи комп'ютерів і периферійних пристроїв можуть бути сформульовані такі питання:

1) комп'ютер якої моделі подано на дослідження; які технічні характеристики його системного блока і периферійних пристроїв; які технічні характеристики цієї обчислювальної мережі;

2) чи є технічна документація на комп'ютер і його складові частини; чи відповідають наявні технічні пристрої документації;

3) які умови складання комп'ютера і його комплектуючих: фірмове складання, складання з комплектуючих в інших фірмах або кустарним способом; чи наявні додаткові пристрої, що не входять до базового комплекту постачання;

4) чи справний комп'ютер і його комплектуючі; чи не містять фізичних дефектів магнітні носії інформації;

5) чи не проводилася адаптація комп'ютера для роботи з ним специфічних користувачів (лівша, особа зі слабким зором тощо);

6) які технічні характеристики інших електронних засобів прийому, накопичення і видачі інформації (пейджер, електронна записна книжка, телефонний сервер); чи справні ці засоби; які причини несправностей;

На вирішення технічної експертизи обладнання захисту можуть бути поставлені такі питання:

1) які технічні пристрої використовуються для захисту комп'ютерної інформації; які їх технічні характеристики;

2) чи є технічна документація на ці пристрої, чи відповідають параметри пристроїв викладеним у документації;

3) чи піддавалися модифікації засоби захисту; чи використовувалися кустарні засоби захисту інформації.

За допомогою експертизи даних і програмного забезпечення можуть вирішуватися як діагностичні, так і ідентифікаційні завдання. Для вирішення діагностичних завдань ставляться такі питання:

1) який тип операційної системи, що використовувалася у комп'ютері;

2) які програми експлуатуються на цьому комп'ютері, коли і ким провадилася їхня інсталяція (установка); чи є вони ліцензійними, несанкціонованими копіями стандартних систем або власними оригінальними розробками і чи можна встановити автора цих програм;

3) яке призначення програмних продуктів, для вирішення яких прикладних завдань вони призначені, який алгоритм їх функціонування, способу введення і виведення інформації;

4) які програмні методи захисту інформації використовуються (паролі, ідентифікаційні коди, програми захисту тощо); чи не фіксувалися спроби неправомірного доступу до комп'ютерної інформації;

5) чи не вносилися в програми системного продукту які-небудь корективи (які?), що змінюють виконання деяких операцій (яких?);

6) чи мають місце збої у роботі окремих програм, які причини цих збоїв; чи не викликані збої в роботі комп'ютера впливом вірусу (якого?), чи поширюється негативний вплив вірусу на більшість програм або він діє тільки на певні програми;

7) яка інформація міститься в прихованих файлах і на дефектних магнітних носіях; чи можливе відновлення раніше видалених файлів і який їх зміст;

8) у якому вигляді зберігається інформація про результати роботи антивірусних програм, програм перевірки контрольних сум файлів, який зміст цієї інформації.

Комп'ютерно-технічна експертиза дає можливість вирішити і деякі завдання ідентифікаційного характеру:

1) чи мають комплектуючі певного комп'ютера (друкарські плати, магнітні носії, дисководи тощо) єдине джерело походження;

2) чи не виконана окрема програма (або її частина) певною особою (вирішується при проведенні комплексної комп'ютерно-технічної та авторознавчої експертизи).

На експертизу мережного програмного забезпечення і даних можуть бути поставлені такі питання:

1) яке програмне забезпечення використовується для функціонування комп'ютерної мережі, чи є воно ліцензійним;

2) яким чином здійснюється з'єднання комп'ютерної мережі, чи є вихід на глобальні комп'ютерні мережі;

3) які комп'ютери є серверами (головними комп'ютерами) мережі, яким чином здійснюється передача інформації на цьому підприємстві, організації, фірмі по вузлах комп'ютерної мережі;

4) чи використовуються для обмеження доступу до інформації комп'ютерної мережі паролі, ідентифікаційні коди, у якому вигляді вони використовуються;

5) чи є збої в роботі окремих програм, окремих комп'ютерів при функціонуванні їх у складі мережі, які причини цих збоїв;

6) яка інформація передається, опрацьовується і модифікується з використанням комп'ютерної мережі.

Об'єктами дослідження комп'ютерно-технічної експертизи виступають:

- комп'ютери та їх системні блоки;

- периферійні пристрої (дисплеї, принтери, дисководи, модеми, клавіатура, сканери, маніпулятори типу «миша», джойстики та ін.), комунікаційні пристрої комп'ютерів і обчислювальних мереж;

- магнітні носії інформації (жорсткі та оптичні диски, стрічки);

- роздруківки програмних і текстових файлів;

- словники пошукових систем (тезауруси), класифікатори та інша технічна документація, наприклад, технічні завдання і звіти;

- електронні записні книжки, пейджери, інші електронні носії текстової або цифрової інформації, технічна документація до них.

Висновки

У лекції було розглянуто лише загальні питання провадження експертиз по злочинах, які вчиняються в інформаційній сфері. Більш докладну інформації з цього питання можна отримати у спеціальній літературі, а також протягом вивчення інших пов’язаних дисциплін.